Ушлые копатели накопали дырочку в юми. Дыра позволяет добавлять любые файлы на серваке, и код пхп-шный из url'а выполнять...
Попробовал создать через уязвимость файл virus.txt в папке /files. Без проблем получилось...
Закрыть именно эту дырочку в принципе достаточно легко, нужно просто добавить .htaccess с Deny from all в папку /styles/common/other/elfinder/php/ .
Юмовцы же придумали достаточно хитрый ход. На сайты, у которых открыта данная уязвимость, через эту же уязвимость похоже её и закрыли, добавив в корневой .htaccess строки:
RewriteRule data\/getEditForm [R=403]
RewriteRule data\/saveEditedObject [R=403]
Кстати, umi soft выпустило патч. который ставят по запросу через ftp-доступ и похоже войдёт в 2.9.2. http://www.umi-cms.ru/company/news/vnimanie_vyshel_patch/